Discussion :

[Hinault Romaric]

Les applications de Microsoft quatre fois moins vulnérables que les autres
Selon Secunia, les utilisateurs devraient plus s’inquiéter des applications tiers


La firme danoise de sécurité informatique et de suivi des vulnérabilités logicielles vient de publier son rapport annuel d’analyse des menaces sur l’année 2010.

De ce rapport et de la conférence de presse de présentation de celui-ci par Stefan Fei, directeur de Secunia, il ressort que les utilisateurs devraient moins s’inquiéter des vulnérabilités des produits Microsoft que celles des logiciels tiers.

Le rapport dévoile que le nombre de vulnérabilités découvertes a légèrement diminué au cours des deux dernières années. 84% des vulnérabilités découvertes en 2010 sont exploitables à distance et 64 % sont liées à des produits tiers qui n’ont pas un mécanisme de sécurité de qualité.

Le rapport révèle également que 55 % des utilisateurs ont plus de 66 programmes installés, programmes édités en moyenne par plus de 22 fournisseurs différents. Parmi les 50 logiciels les plus couramment installés, 26 ont été réalisés par Microsoft.

Selon le rapport, les applications développées par les autres entreprises seraient environ quatre fois plus vulnérables que celles développées par Microsoft.

D’après Frei cette différence vient du processus de mise à jour des applications de Microsoft qui est relativement simple pour les utilisateurs. Les autres entreprises utilisent des systèmes différents et seulement quelques-uns utilisent un mécanisme de mises à jour automatiques similaire à celui-ci de Microsoft.

L’absence d’un véritable processus de mises à jour fréquentes et adaptées aux habitudes des utilisateurs dans les entreprises créerait des véritables opportunités pour les pirates.

« Il y a un énorme décalage entre la période ou les vulnérabilités sont découvertes et exploitées par les pirates et celle ou les équipes de sécurité des entreprises mettent à la disposition des utilisateurs finaux des mises à jour appropriées » affirme Frei, « les petites entreprises ont moins de ressources à consacrer à la mise sur pied d’une fonction de mise à jour automatique de leurs produits ».

Le rapport montre que pour conserver leurs systèmes informatiques sécurisés, les utilisateurs doivent maitriser en moyenne 14 mécanismes différents de mise à jour des applications. La plupart des utilisateurs ne sont même pas informés de l'existence des mises à jour à leurs sorties. D'autres sont tout simplement dépassés par la complexité et la fréquence des mesures à prendre en rapport avec ces applications tiers pour protéger le système.

Secunia en conclue que l’exploitation des vulnérabilités des autres applications devrait beaucoup plus attirer les pirates que les vulnérabilités des technologies de Microsoft.

Un rapport qui va à l'encontre de bon nombre d'idées reçue.


Source : Le rapport Secunia (PDF)

Et vous ?

Que pensez-vous du processus de mise à jour des autres fournisseurs ?

Partagez-vous cette analyse de Secunia sur la meilleure sécurité des technologies de Microsoft ?


En collaboration avec Gordon Fowler

[manudwarf]

Que pensez-vous du processus de mise à jour des autres fournisseurs ?

La critique est facile, puisque MS ne permet pas aux éditeurs tiers de profiter de son système de mises à jour, lui.

Partagez-vous cette analyse de Secunia sur la meilleure sécurité des technologies de Microsoft ?

Ça me conforte dans l'idée qu'un système de mise à jour centralisé et ouvert offre une meilleure sécurité.

[Anomaly]

Prenez Ubuntu, mais c'est aussi le cas de la plupart des autres distributions Linux, et vous disposez d'un système capable de mettre à jour automatiquement l'ensemble du système, applications comprises, sans aucune action autre de la part de l'utilisateur que la confirmation de l'installation des mises à jour. Et la plupart du temps sans avoir à réaliser le moindre reboot.

[huit_six]

+1

[Neko]

Prenez Ubuntu, mais c'est aussi le cas de la plupart des autres distributions Linux, et vous disposez d'un système capable de mettre à jour automatiquement l'ensemble du système, applications comprises, sans aucune action autre de la part de l'utilisateur que la confirmation de l'installation des mises à jour. Et la plupart du temps sans avoir à réaliser le moindre reboot.

Et qu'est-ce qui empêche tout ces éditeurs tiers de se regrouper pour faire un système de mise à jour commun sous Windows, justement comme sous Ubuntu et autre distributions Linux ?

[Sunsawe]

Et qu'est-ce qui empêche tout ces éditeurs tiers de se regrouper pour faire un système de mise à jour commun sous Windows, justement comme sous Ubuntu et autre distributions Linux ?

Tu trouves plus logique de fédérer des milliers d'éditeurs pour faire un système de mise à jour commun, plutot que d'avoir un outil fournit par le point commun à tous, à savoir, le système d'exploitation...?

[Neko]

Tu trouves plus logique de fédérer des milliers d'éditeurs pour faire un système de mise à jour commun, plutot que d'avoir un outil fournit par le point commun à tous, à savoir, le système d'exploitation...?

Tu réussi bien à fédérer ces éditeurs pour tous les autres standards, pourquoi ne pas en créer un pour ça ?

[boris2587]

C'est justement à Microsoft de mettre sa plateforme de mise à jour à la disposition des autres éditeurs de logiciels de Windows

[Anomaly]

Je suis d'accord avec Sunsawe, le mécanisme de mise à jour du système et des applications devrait être idéalement intégré au système d'exploitation.

Linux y arrive bien (certes c'est facilité par le fait que la majorité des applications sont fournies par l'OS lui-même, mais même les applications externes comme par exemple Opera savent s'installer dans les mises à jour du système pour être mises à jour par le système).

Actuellement, sous Windows, c'est chacun pour soi. Certaines sociétés fournissent leur propre logiciel de mise à jour spécifique (Microsoft, Apple, Adobe, HP, Java, ...), ce qui prend de la RAM, de l'espace, et une interface différente pour chaque. D'autres incluent le mécanisme dans l'application elle-même au lancement (Firefox, Chrome, Notepad++, ...). Et enfin certaines n'offrent tout simplement aucun moyen de mise à jour automatique.

Bref, sous Windows y'a sacrément du retard par rapport à Linux sur ce point.

[Neko]

Je crois qu'on s'est mal compris. Oui, idéalement ce serait au système. C'est pas le cas. Bouh, Méchant Microsoft, etc etc. Passons.

En fait ya que 3 possibilités:
- Soit rester comme ça ( c'est à dire le bordel )
- Soit faire changer d'avis Microsoft ( Bonne chance et pour ça faudrait se bouger un peu plus que dire simplement "pas bien!!" )
- Soit avancer sans leur accord et faire un système qui pourrait ( soyons fou! ) devenir standard.

[Guardian]

Que je sache, tout le monde peut utiliser gratuitement MSI pour créer une installation de ses logiciels.
Si certains éditeurs utilisent un installateur qui leur est propre c'est leur faute, pas celle de Microsoft.

Microsoft Windows Installer est un composant de votre système d'exploitation Windows qui offre une plateforme standard pour l'installation et la désinstallation de logiciels. Les fabricants de logiciels peuvent créer le programme d'installation de leurs logiciels de sorte qu'il utilise Windows Installer pour faciliter l'installation, la maintenance et la désinstallation des logiciels.

[Anomaly]

Je ne vois pas le rapport entre MSI et le système de mise à jour idéal, automatique et centralisé dont on parle ici.

[Guardian]

Simple réponse à ceci

puisque MS ne permet pas aux éditeurs tiers de profiter de son système de mises à jour, lui

[Michaël]

Pour info, l'équipe Windows Update est en train de refondre Windows Update depuis quelques mois pour autoriser les applis tierces à l'utiliser et ainsi centraliser les majs

[_skip]

En même temps, j'apprécie de pouvoir installer la dernière version d'un logiciel grâce à un installeur juste téléchargé. La mise à jour centralisé c'est génial à condition que les dépôts de référence soient aux aussi bien à jour avec les dernières versions.

Rien n'est plus désagréable que de devoir installer manuellement des softs sur /opt/ car les versions proposées sont trop anciennes.

[Anomaly]

En même temps, j'apprécie de pouvoir installer la dernière version d'un logiciel grâce à un installeur juste téléchargé. La mise à jour centralisé c'est génial à condition que les dépôts de référence soient aux aussi bien à jour avec les dernières versions.

Rien n'est plus désagréable que de devoir installer manuellement des softs sur /opt/ car les versions proposées sont trop anciennes.

Pour certains logiciels, c'est fort possible d'inclure, en sus des dépôts officiels de la distribution qui contiennent les versions "gelées" des applications, des dépôts spécifiques qui permettent ainsi d'installer et de mettre à jour vers la dernière version des applications. WineHQ par exemple, le fait. Si Wine 1.2.1 fourni avec Ubuntu 10.10 ne te convient pas, il est très simple de configurer le système de paquets pour installer Wine 1.3.10 et le maintenir à jour automatiquement via le système officiel. Le principe des backports est le même, pour permettre à ceux qui préfèrent certains logiciels bleeding-edge plutôt qu'une version gelée, tout en continuant de profiter du système intégré de mise à jour.

[Loceka]

Tant qu'on en est aux récriminations, une constatation qui s'est imposée à moi récemment, en sortant de la douche, c'est que dans les logiciels installés par aptitude/apt sous linux on ne trouve jamais de logiciels "tiers" inclus dans les logiciels.
A contrario, même dans certains logiciels "reconnus" de Windows (Java pour ne pas le citer) on a, à l'install, le choix (coché par défaut bien entendu) d'installer une barre de recherche Yahoo! dans les navigateurs, chaque logiciel ayant son sponsor bien évidemment, et ça se limite pas aux barres de recherche... Les produits Microsofts adoptent la même philosophie d'ailleurs : quand on télécharge un produit sur leur site (Windows Live pas exemple) il faut décocher toute une tripotée de logiciels indésirables.

Je trouve cette philosophie quelque peu rébarbative et nuisible...

[Michaël]

Quels logiciels indésirables avec live ? La dernière fois que j'ai installé live, j'ai pas eu de logiciels indésirables autres que ceux de la suite live. Est-ce que tu parles de l'appli mail, photos, etc ? Si oui, c'est inclus dans la suite donc c'est normal qu'il te propose de l'installer Ca fonctionne comme ça dans toutes les suites (ou presque)

[stardeath]

je crois qu'il te propose de mettre la barre de bing et bing comme moteur de recherche par défaut, assez pénible en effet.

[Loceka]

Est-ce que tu parles de l'appli mail, photos, etc ? Si oui, c'est inclus dans la suite donc c'est normal qu'il te propose de l'installer

Oui, je parle bien de ça. Quand tu mets à jour Windows Live il te propose en plus plein de logiciels qui, pour moi, sont des logiciels tiers (je mets à jour Windows Live, je veux juste Windows Live).

De plus, comme le dit stardeath, il propose en sus de ça sa barre de recherche.

Moi je ne trouve pas ça normal.